Konfucijus APT

Konfucijus APT Aprašymas

Pirmieji Konfucijaus APT (Advanced Persistent Threat) veiklos požymiai datuojami 2013 m. Nuo tada įsilaužėlių kolektyvas aktyviai veikė, o paskutinė atakų banga įvyko 2020 m. gruodžio mėn. Tvirtai tikima, kad Konfucijus yra valstybės remiamas ir demonstravo proindiškus ryšius. Bėgant metams daugiausia dėmesio skirta vyriausybinėms agentūroms iš Pietryčių Azijos regiono, Pakistano kariškiams, branduolinėms agentūroms ir Indijos rinkimų pareigūnams.

Grupė daugiausia dėmesio skyrė duomenų vagystės ir žvalgybos operacijoms ir suformavo jos kenkėjiškų programų rinkinį. Pirmasis, kuris buvo priskirtas Konfucijui, buvo ChatSpy. Jis buvo dislokuotas kaip 2017 m. operacijos dalis ir veikė kaip stebėjimo priemonė. Nuo 2016 m. iki 2019 m. grupė aktyviai kūrė SunBird kenkėjišką programą – Android šnipinėjimo grėsmę su išplėstomis galimybėmis. Nors „SunBird“ funkcijos taip pat buvo skirtos duomenų vagystei, įskaitant įrenginio identifikatorius, GPS vietą, kontaktų sąrašus, skambučių žurnalus ir kt., Ji buvo sukurta specialiai „WhatsApp“, ištraukiant dokumentus, duomenų bazes ir vaizdus iš programos. Be to, SunBird buvo aprūpintas nuotolinės prieigos Trojos arklys (RAT) funkcija, leidžiančia Konfucijui numesti papildomų kenkėjiškų programų apkrovų jau pažeistuose įrenginiuose.

Paskutinė Konfucijaus operacija buvo pastebėta 2020 m. gruodžio mėn. ir joje buvo naudojama visiškai kitokia „Android“ šnipinėjimo programų padermė. Pavadintas Hornbill, jis parodė grupės veiklos raidą. Iš tiesų, Hornbill galimybių apimtis buvo sumažinta, palyginti su SunBird, tačiau tai leido grėsmei veikti kaip diskretiškesniam įrankiui, skirtam selektyviai rinkti duomenis iš taikinio. „Hornbill“ prarado RAT funkciją, bet įgijo galimybę piktnaudžiauti „Android“ pritaikymo neįgaliesiems funkcijomis, kad aptiktų ir įrašytų aktyvius „WhatsApp“ skambučius.